Problemen met Pass Through-verificatie in Azure Active Directory oplossen

Dit artikel helpt u informatie te vinden over het oplossen van veelvoorkomende problemen met passthrough-verificatie van Azure AD.

Belangrijk

Als u problemen ondervindt met het aanmelden van gebruikers met passthrough-verificatie, moet u niet de functie uitschakelen of passthrough-verificatie-agents verwijderen zonder een alleen-cloud account voor globale beheerders of een account voor hybride identiteitsbeheerders te hebben om op terug te vallen. Meer informatie over het toevoegen van een alleen-cloud account voor globale beheerders. Deze stap is essentieel en zorgt ervoor dat u niet buitengesloten wordt uit uw tenant.

Algemene problemen

Status van de functie en verificatie-agents controleren

Zorg ervoor dat de functie Passthrough-verificatie nog steeds is ingeschakeld voor uw tenant en dat de status van Verificatie-agents Actief is, niet Inactief. U kunt de status controleren door naar de blade Azure AD Connect te gaan in het Entra-beheercentrum.

Schermopname toont Entra-beheercentrum - Azure AD blade Verbinding maken.

Screenhot toont Entra-beheercentrum - blade Passthrough-verificatie.

Gebruikersgerichte foutberichten over aanmelding

Als de gebruiker zich niet kan aanmelden met passthrough-verificatie, wordt er mogelijk een van de volgende gebruikersgerichte fouten weergegeven op het aanmeldingsscherm van Azure AD:

Fout Beschrijving Oplossing
AADSTS80001 Kan geen verbinding maken met Active Directory Zorg ervoor dat agentservers lid zijn van hetzelfde AD-forest als de gebruikers van wie wachtwoorden moeten worden gevalideerd, en dat ze verbinding kunnen maken met Active Directory.
AADSTS80002 Er is een time-out opgetreden bij het verbinden met Active Directory Controleer of Active Directory beschikbaar is en reageert op aanvragen van de agents.
AADSTS80004 De gebruikersnaam die aan de agent is doorgegeven, is ongeldig Zorg ervoor dat de gebruiker zich aanmeldt met de juiste gebruikersnaam.
AADSTS80005 Bij de validatie is een onvoorspelbare WebException aangetroffen Een tijdelijke fout. Probeer de aanvraag opnieuw. Als het probleem zich blijft voordoen, neemt u contact op met Microsoft Ondersteuning.
AADSTS80007 Er is een fout opgetreden tijdens de communicatie met Active Directory Controleer de agentlogboeken voor meer informatie en controleer of Active Directory werkt zoals verwacht.

Gebruikers krijgen een ongeldige gebruikersnaam-/wachtwoordfout

Dit kan gebeuren wanneer de on-premises UserPrincipalName (UPN) van een gebruiker anders is dan de cloud-UPN van de gebruiker.

Als u wilt controleren of dit het probleem is, test u eerst of de passthrough-verificatie-agent correct werkt:

  1. Maak een testaccount.

  2. Importeer de PowerShell-module op de agentcomputer:

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"
    
  3. Voer de PowerShell-opdracht Aanroepen uit:

    Invoke-PassthroughAuthOnPremLogonTroubleshooter 
    
  4. Wanneer u wordt gevraagd referenties in te voeren, voert u dezelfde gebruikersnaam en hetzelfde wachtwoord in die worden gebruikt om u aan te melden bij (https://login.microsoftonline.com).

Als u dezelfde gebruikersnaam-/wachtwoordfout krijgt, betekent dit dat de passthrough-verificatie-agent correct werkt en het probleem kan zijn dat de on-premises UPN niet routeerbaar is. Zie Alternatieve aanmeldings-id configureren voor meer informatie.

Belangrijk

Als de Azure AD Connect-server niet domeingekoppeld is, een vereiste die wordt vermeld in Azure AD Connect: Vereisten, treedt het probleem met de ongeldige gebruikersnaam/wachtwoord op.

Redenen voor mislukte aanmeldingen op de Azure Portal (hiervoor is een Premium-licentie vereist)

Als aan uw tenant een Azure AD Premium-licentie is gekoppeld, kunt u ook het rapport met aanmeldingsactiviteiten bekijken in het Entra-beheercentrum.

Schermopname van het Entra-beheercentrum - Aanmeldingsrapport,

Ga naar Azure Active Directory ->Aanmeldingen op de Azure Portal en klik op de aanmeldingsactiviteit van een specifieke gebruiker. Zoek naar het veld SIGN-IN ERROR CODE. Wijs de waarde van dat veld toe aan een reden en oplossing van de fout met behulp van de volgende tabel:

Foutcode voor aanmelding Reden van mislukte aanmelding Oplossing
50144 Het Active Directory-wachtwoord van de gebruiker is verlopen. Stel het wachtwoord van de gebruiker in uw on-premises Active Directory opnieuw in.
80001 Er is geen verificatieagent beschikbaar. Een verificatieagent installeren en registreren.
80002 Er is een time-out opgetreden bij de wachtwoordvalidatie voor de verificatieagent. Controleer of uw Active Directory bereikbaar is via de verificatieagent.
80003 Ongeldig antwoord ontvangen door de verificatieagent. Als het probleem consistent kan worden geproduceerd voor meerdere gebruikers, controleert u uw Active Directory-configuratie.
80004 Onjuiste UPN (user principal name) gebruikt voor aanmeldingsaanvraag. Vraag de gebruiker zich aan te melden met de juiste gebruikersnaam.
80005 Verificatieagent: er is een fout opgetreden. Tijdelijke fout. Probeer het later opnieuw.
80007 Verificatieagent kan geen verbinding maken met Active Directory. Controleer of uw Active Directory bereikbaar is via de verificatieagent.
80010 Verificatieagent kan wachtwoord niet ontsleutelen. Als het probleem consistent reproduceerbaar is, installeert en registreert u een nieuwe verificatie-agent en verwijdert u de huidige.
80011 Verificatieagent kan ontsleutelingssleutel hier ophalen. Als het probleem consistent reproduceerbaar is, installeert en registreert u een nieuwe verificatie-agent en verwijdert u de huidige.
80014 Validatieaanvraag heeft gereageerd nadat de maximale verstreken tijd is overschreden. Time-out van verificatie-agent. Open een ondersteuningsticket met de foutcode, correlatie-id en tijdstempel voor meer informatie over deze fout

Belangrijk

Passthrough-verificatie-agents verifiëren Azure AD-gebruikers door hun gebruikersnamen en wachtwoorden te valideren voor Active Directory door de Win32 LogonUser-API aan te roepen. Als u in Active Directory de instelling 'Aanmelden bij' hebt ingesteld om de aanmeldingstoegang tot werkstations te beperken, moet u servers die passthrough-verificatie-agents hosten ook toevoegen aan de lijst met 'Aanmelden bij'-servers. Als u dit niet doet, kunnen uw gebruikers zich niet aanmelden bij Azure AD.

Problemen met het installeren van de verificatieagent

Er is een onverwachte fout opgetreden

Verzamel agentlogboeken van de server en neem contact op met Microsoft Ondersteuning met uw probleem.

Problemen met verificatieagentregistratie

Registratie van de verificatieagent is mislukt vanwege geblokkeerde poorten

Zorg ervoor dat de server waarop de verificatieagent is geïnstalleerd, kan communiceren met onze service-URL's en poorten die hier worden vermeld.

Registratie van de verificatieagent is mislukt vanwege token- of accountautorisatiefouten

Zorg ervoor dat u een alleen-cloud account voor globale beheerders of een account voor hybride identiteitsbeheerders gebruikt voor alle installatie- en registratiebewerkingen voor Azure AD Connect- of zelfstandige verificatieagents. Er is een bekend probleem met globale beheerdersaccounts met MFA. Schakel MFA tijdelijk uit (alleen om de bewerkingen te voltooien) als tijdelijke oplossing.

Er is een onverwachte fout opgetreden

Verzamel agentlogboeken van de server en neem contact op met Microsoft Ondersteuning met uw probleem.

Problemen met het verwijderen van de verificatieagent

Waarschuwingsbericht bij het verwijderen van Azure AD Connect

Als passthrough-verificatie is ingeschakeld op uw tenant en u Azure AD Connect probeert te verwijderen, wordt het volgende waarschuwingsbericht weergegeven: Gebruikers kunnen zich niet aanmelden bij Azure AD, tenzij er andere passthrough-verificatieagents op andere servers zijn geïnstalleerd.

Zorg ervoor dat uw installatie een hoge beschikbaarheid heeft voordat u Azure AD Connect verwijdert om te voorkomen dat gebruikers zich niet kunnen aanmelden.

Problemen met het inschakelen van de functie

Het inschakelen van de functie is mislukt omdat er geen verificatieagents beschikbaar waren

U moet ten minste één actieve verificatieagent hebben om passthrough-verificatie in te schakelen voor uw tenant. U kunt een verificatieagent installeren door Azure AD Connect of een zelfstandige verificatieagent te installeren.

Het inschakelen van de functie is mislukt vanwege geblokkeerde poorten

Zorg ervoor dat de server waarop Azure AD Connect is geïnstalleerd, kan communiceren met onze service-URL's en poorten die hier worden vermeld.

Het inschakelen van de functie is mislukt vanwege token- of accountautorisatiefouten

Zorg ervoor dat u een alleen-cloud account voor globale beheerders gebruikt wanneer u de functie inschakelt. Er is een bekend probleem met globale beheerdersaccounts met meervoudige verificatie (MFA). Schakel MFA tijdelijk uit (alleen om de bewerking te voltooien) als tijdelijke oplossing.

Logboeken van de passthrough-verificatieagent verzamelen

Afhankelijk van het type probleem moet u op verschillende plaatsen zoeken naar logboeken van de passthrough-verificatieagent.

Azure AD Connect-logboeken

Voor fouten met betrekking tot installatie controleert u de Azure AD Connect-logboeken in %ProgramData%\AADConnect\trace-*.log.

Gebeurtenislogboeken van verificatieagent

Voor fouten met betrekking tot de verificatieagent opent u de toepassing Logboeken op de server en controleert u Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.

Schakel voor gedetailleerde analyse het logboek 'Sessie' in (klik met de rechtermuisknop in de toepassing Logboeken voor deze optie). Voer de verificatieagent niet uit als dit logboek is ingeschakeld tijdens normale bewerkingen. Gebruik dit alleen voor het oplossen van problemen. De inhoud van het logboek is pas zichtbaar nadat het logboek weer is uitgeschakeld.

Gedetailleerde traceringslogboeken

Als u fouten met gebruikersaanmelding wilt oplossen, zoekt u traceringslogboeken in %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. Deze logboeken bevatten redenen waarom het aanmelden van een specifieke gebruiker met de functie Passthrough-verificatie is mislukt. Deze fouten worden ook toegewezen aan de redenen voor aanmeldingsfouten die worden weergegeven in de voorgaande tabel met redenen voor aanmeldingsfouten. Hier volgt een voorbeeld van een logboekvermelding:

    AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
        ThreadId=5
        DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ

U kunt beschrijvende details van de fout ('1328' in het voorgaande voorbeeld) ophalen door de opdrachtprompt te openen en de volgende opdracht uit te voeren (opmerking: vervang '1328' door het werkelijke foutnummer dat u in uw logboeken ziet):

Net helpmsg 1328

Passthrough-verificatie

Domeincontroller-logboeken

Als auditlogboeken zijn ingeschakeld, kunt u aanvullende informatie vinden in de beveiligingslogboeken van uw domeincontrollers. Een eenvoudige manier om een query uit te voeren op aanmeldingsaanvragen die worden verzonden door passthrough-verificatieagents, is als volgt:

    <QueryList>
    <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
    </Query>
    </QueryList>

Prestatiemeteritems

Een andere manier om verificatieagents te bewaken, is door specifieke prestatiemeteritems bij te houden op elke server waarop de verificatieagent is geïnstalleerd. Gebruik de volgende globale tellers (# PTA-verificaties, #PTA mislukte verificaties en #PTA geslaagde verificaties) en foutmeteritems (# PTA-verificatiefouten):

Prestatiemeteritems passthrough-verificatie

Belangrijk

Passthrough-verificatie biedt hoge beschikbaarheid met behulp van meerdere verificatieagenten, en niet taakverdeling. Afhankelijk van uw configuratie ontvangen niet al uw verificatieagents ongeveer hetzelfde aantal aanvragen. Het is mogelijk dat een specifieke verificatieagent helemaal geen verkeer ontvangt.